Lar Securitywatch A máscara hack além de qualquer coisa que vimos até agora

A máscara hack além de qualquer coisa que vimos até agora

Vídeo: embriologia - neurônio (Novembro 2024)

Vídeo: embriologia - neurônio (Novembro 2024)
Anonim

Os pesquisadores da Kaspersky Lab descobriram uma operação de espionagem cibernética contra organizações governamentais, de energia, petróleo e gás em todo o mundo, usando a mais sofisticada gama de ferramentas vistas até hoje. A empresa disse que a operação tinha todas as características de ser um ataque de Estado-nação.

Costin Raiu, diretor da equipe global de pesquisa e análise da Kaspersky Lab, e sua equipe desmascararam os detalhes por trás de "The Mask" no Kaspersky Lab Security Analysts Summit na segunda-feira, descrevendo como a operação usou um rootkit, kit de inicialização e malware projetado para Windows, Mac OS X e Linux. Pode até haver versões para Android e iOS do malware usado, disse a equipe. Segundo todos os indicadores, The Mask é uma campanha nacional de elite, e sua estrutura é ainda mais sofisticada do que a campanha Flame associada ao Stuxnet.

"Este é um dos melhores que eu já vi. Anteriormente, o melhor grupo APT era o responsável por Flame, mas agora isso muda minha opinião por causa da maneira como gerencia a infraestrutura e da maneira como eles reagem às ameaças e à velocidade da reação e do profissionalismo. ", Disse Raiu. The Mask vai "além do Flame e de qualquer outra coisa que vimos até agora".

A operação não foi detectada por cerca de cinco anos e impactou 380 vítimas em mais de 1.000 endereços IP direcionados pertencentes a entidades governamentais, escritórios e embaixadas diplomáticas, institutos de pesquisa e ativistas. A lista de países afetados é longa, incluindo Argélia, Argentina, Bélgica, Bolívia, Brasil, China, Colômbia, Costa Rica, Cuba, Egito, França, Alemanha, Gibraltar, Guatemala, Irã, Iraque, Líbia, Malásia, México, Marrocos, Noruega, Paquistão, Polônia, África do Sul, Espanha, Suíça, Tunísia, Turquia, Reino Unido, Estados Unidos e Venezuela.

Como desembalar a máscara

A máscara, também chamada Careto, rouba documentos e chaves de criptografia, informações de configuração para redes privadas virtuais (VPN), chaves para Secure Shell (SSH) e arquivos para o Remote Desktop Client. Também limpa traços de suas atividades do log. A Kaspersky Lab disse que o malware tem uma arquitetura modular e suporta plug-ins e arquivos de configuração. Também pode ser atualizado com novos módulos. O malware também tentou explorar uma versão mais antiga do software de segurança da Kaspersky.

"Ele está tentando abusar de um de nossos componentes para se esconder", disse Raiu.

O ataque começa com emails de spear-phishing com links para um URL malicioso que hospeda várias explorações antes de finalmente entregar os usuários ao site legítimo mencionado no corpo da mensagem. Nesse ponto, os atacantes têm controle sobre as comunicações da máquina infectada.

Os invasores usaram uma exploração direcionada a uma vulnerabilidade no Adobe Flash Player, que permite que os invasores ignorem a sandbox no Google Chrome. A vulnerabilidade foi explorada com sucesso pela primeira vez durante o concurso Pwn2Own no CanSecWest em 2012 pelo corretor de vulnerabilidades francês VUPEN. A VUPEN se recusou a divulgar detalhes de como foi o ataque, dizendo que queria salvá-lo para seus clientes. Raiu não disse abertamente que a exploração usada em The Mask era a mesma que a de VUPEN, mas confirmou que era a mesma vulnerabilidade. "Talvez alguém se exploda", disse Raiu.

A VUPEN levou ao Twitter para negar que sua exploração tivesse sido usada nesta operação, dizendo: "Nossa declaração oficial sobre #Mask: a exploração não é nossa, provavelmente foi encontrada ao diferir o patch lançado pela Adobe após o # Pwn2Own". Em outras palavras, os atacantes compararam o Flash Player corrigido com a edição sem patch, selecionaram as diferenças e deduziram a natureza da exploração.

Onde está a máscara agora?

Quando a Kaspersky publicou um teaser de The Mask em seu blog na semana passada, os atacantes começaram a encerrar suas operações, disse Raiu. O fato de os invasores terem conseguido desligar sua infraestrutura dentro de quatro horas após a Kaspersky publicar o teaser indica que os agressores eram realmente profissionais, disse Jaime Blasco, diretor de pesquisa da AlienVault Labs.

Enquanto a Kaspersky Lab desligou os servidores de comando e controle encontrados associados à operação e a Apple desligou os domínios associados à versão Mac da exploração, Raiu acredita que eles são apenas um "instantâneo" da infraestrutura geral. "Eu suspeito que estamos vendo uma janela muito estreita para a operação deles", disse Raiu.

Embora seja fácil supor que, como havia comentários no código em espanhol de que os agressores eram de um país de língua espanhola, Raiu apontou que os agressores poderiam facilmente usar um idioma diferente como bandeira vermelha para desviar os investigadores. Onde está a máscara agora? Nós simplesmente não sabemos.

A máscara hack além de qualquer coisa que vimos até agora